Direito digital e segurança da informação: guardiões da privacidade

Com o devido acatamento, no meu entendimento faz-se necessário inicialmente discorrer sobre o Direito Digital e Segurança da Informação brevemente contextualizando-os.

A Doutora Patrícia Peck Pinheiro define o Direito Digital como evolução do próprio Direito, abrangendo todos os princípios fundamentais e institutos que estão vigentes e são aplicados até hoje, assim como introduzindo novos institutos e elementos para o pensamento jurídico, em todas as suas áreas.

Sendo assim o Direito Digital não pode ser considerado um ramo autônomo, já que está diretamente ligado aos demais ramos do Direito, como:

  • Civil (direitos personalíssimos, contratos, obrigações);
  • Penal (crimes eletrônicos, falsa identidade, pornografia infantil);
  • Tributário (nota fiscal eletrônica, tributação de softwares e comércio eletrônico);
  • Comercial (propriedade intelectual, concorrência desleal, governança jurídica), dentre outras possibilidades (Família, Trabalho, Consumidor, uma infinidade de temas).

Sobre Segurança da Informação, a Dra. Patrícia Peck, define: “Segurança da Informação é a alma das empresas que detém dados”. Sobre a relação entre o Direito e a Segurança da Informação, a Dra. Patrícia Peck explica: “A questão da segurança é um dos principais temas a serem discutidos e resolvidos não apenas no Direito Digital, mas na sociedade como um todo, uma vez que é uma das barreiras para o maior aproveitamento das novas tecnologias e um limitador para a exploração de seu potencial comercial.

A necessidade de segurança nas expectativas da sociedade foi um dos fatores que motivaram a criação do próprio Direito como fenômeno de controle dentro de limites permitidos pela própria sociedade por meio das leis – o chamado Estado de Direito. Por isso, é lógico imaginar que toda uma nova tecnologia que possibilite uma nova ferramenta de relacionamento necessite de um estudo mais profundo sobre sua capacidade em transmitir segurança e ter no Direito um mecanismo que possa garanti-la.

Ainda sob ótica da Segurança da Informação, a Norma ISO/IEC 27002 define como: “proteção da Informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.

Entende-se por Informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa.

Esta pode estar “guardada” com o uso restrito, sendo assim, a Segurança da Informação não diz respeito apenas a sistemas, mas a todo e qualquer tipo de Informação, tendo como objetivo três pontos:

  1. Confidencialidade – a Informação só deve ser acessada por quem de direito;
  2. Integridade – evitar que os dados sejam apagados ou alterados sem a devida autorização do proprietário; e
  3. Disponibilidade – as informações devem sempre estar disponíveis para acesso.

Alguns autores defendem, ainda, o acréscimo de mais dois aspectos sendo esses:

  • Autenticidade – capacidade de identificar e reconhecer formalmente a identidade dos elementos de uma comunicação eletrônica ou comércio;
  • Não repudio (ou legalidade) – características das informações que possuem valor legal dentro de um processo de comunicação.

Importante também mensurar que recentemente não havia legislação específica que versasse sobre segurança da informação. Como sabemos, agora o Brasil possui a Lei no 13.709/2018, a Lei Geral de Proteção de Dados. Contudo, antes da LGPD, podia-se contar com a Medida Provisória no 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, a fim de garantir a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos, nos termos do artigo 1o da referida norma.

Vale ressaltar que o papel da norma ISO 27001, que vem a ser “o padrão e a referência Internacional para a Gestão da Segurança da informação”.

Esta tem vindo de forma continuada e sendo melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a ISO 27001 e a BS7799 (British Standards).

A sua origem remonta na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação.

Segundo o Professor Doutor Marcelo Crespo, a Segurança da Informação relaciona-se com a proteção de um conjunto de informações, preservando o valor que possuem para uma pessoa ou organização.

Como justificativa do escrito até o momento, mensuro o escândalo da empresa Cambridge Analytica, ocorrido devido ao fato da mesma ter obtido ilegalmente dados pessoais de cerca de 50 milhões de perfis de usuários do Facebook nos Estados Unidos utilizando-os de maneira indevida para o uso de fins eleitorais.

Tais dados pessoais são oriundos através do aplicativo chamado this is your digital life (essa é sua vida digital, em português), vindo a partir de um teste de personalidade aparentemente inofensivo, disponibilizado gratuitamente aos usuários da rede social (Facebook) em 2014, e posteriormente arruinando a empresa de tal forma a resultar na decisão de encerrar as atividades, mesmo alegando inocência.

Com isso é notório o descuido, as brechas e a inobservância de leis oriundas no âmbito do Direito Digital de forma ampla (Civil e Penal) onde sequer foram vislumbradas e cumpridas, mesmo sendo necessárias!

Adicionalmente os padrões de Segurança da Informação pouco importaram em relação ao ocorrido com a empresa supracitada, sendo totalmente deixados para “escanteio”.

Um dos pilares da Segurança da informação, conhecido e de suma importância, a CONFIDENCIALIDADE, fora ignorado sem a devida atenção e seriedade. O fato de os dados pessoais terem sidos utilizados de forma indevida, para uso próprio, com finalidades vantajosas, sem ao menos terem avaliado os riscos de Segurança da Informação é evidência explícita de que os padrões de Segurança da Informação não foram respeitados.

Segundo a Norma ISO 27002, o pilar Confidencialidade mensura que a informação NÃO DEVE ser conhecida por pessoas que não estejam autorizadas para tal, o que não ocorreu no caso discutido em questão.

Evidente que a empresa americana Cambridge Analytica utilizou dados pessoais sem ao menos informar e ou solicitar autorização dos proprietários da informação para tal manipulação dos mesmos desrespeitando os proprietários da informação, além de Leis, Decretos e Exigências normativas oriundas do Direito Digital e de Segurança da Informação.

Adicionalmente menciono de forma breve a ausência de um dos princípios fundamentais de Governança Corporativa, a Transparência (Disclosure), por parte da empresa Cambridge Analytica que utilizou um aplicativo que possuía como objetivo da coleta de dados pessoais, posteriormente sendo utilizado para uso próprio, com finalidades vantajosas.

Certamente o desastre catastrófico ocorrido com a empresa Cambridge Analytica seria evitado se a aplicação do Direito Digital e da Segurança da informação fossem observados e seguidos.

Por fim concluo afirmando de forma explícita a necessidade da existência do Direito Digital e da Segurança da Informação, pois o Direito é aplicado de maneira multidisciplinar e a Segurança da Informação em todos os processos que norteiem a existência dos Pilares de Segurança.

Referências Bibliográficas

PINHEIRO, Patrícia Peck. Direito Digital. 5 Ed. rev., atual. e ampl. de acordo com as Leis n. 12.735 e 12.737, de 2012 – São Paulo: Saraiva, 2013. P. 75

ABNT NBR ISO/IEC 27002, Segunda edição, Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de Segurança da Informação.

 

Por Pablo Jesus de Camargo Correia

Fonte: //www.lexmachinae.com/2018/12/11/direito-digital-seguranca-da-informacao-guardioes-da-privacidade/

Comentários

Comentários